Соответствие PHP и PCI

У меня есть веб-сервер, который должен пройти проверку на соответствие PCI с помощью ControlScan. Все хорошо, за исключением сканирования версии PHP. Я считаю, что у меня последняя версия, которую предоставляет CentOS. Вот что они сказали:

ССЫЛКА НА УГРОЗЫ

Резюме: уязвимая версия PHP: 5.2.6

Риск: Высокий (3) Порт: 80 / tcp Протокол: tcp Идентификатор угрозы: web_prog_php_version

<--- ДЕЙСТВИТЕЛЬНО ДЛИННЫЙ СПИСОК уязвимостей PHP устранен --->

Информация от цели: Служба: http Отправлено: GET / javascript / HTTP / 1.0 Хост: Пользователь-агент: Mozilla / 4.0

Получено: X-Powered-By: PHP / 5.2.6

Вот моя версия php:

rpm -qa php php-5.2.6-1.el5.art

Насколько я понимаю, он имеет бэкпорт, поэтому, хотя это не последняя версия, к нему все еще применяются исправления безопасности.

Я считаю, что у меня установлена ​​последняя версия, которую позволяет CentOS (на самом деле я только что обновил пару недель назад) Вот текущий результат:

yum update php Загруженные плагины: fastestmirror Скорость загрузки зеркала из кэшированного хост-файла * addons: mirror.es.its.nyu.edu * base: mirror.atlanticmetro.net * extras: mirrors.advancedhosters.com * updates: mirror.linux.duke. edu addons | 1.9 kB 00:00 база | 1,1 kB 00:00 дополнения | 2.1 kB 00:00 Обновления | 1.9 kB 00:00 Настройка процесса обновления Нет пакетов, отмеченных для обновления

Они попросили журнал изменений, поэтому я побежал:

rpm -q --changelog php

но в нем нет CVE .... Как я могу определить, действительно ли PHP содержит эти уязвимости? Я исхожу из этого ... Это разочаровывает, потому что они на самом деле не тестируют уязвимости, они просто выбирают номер версии из заголовков ...: /